Splunk Universal reenviado Windows Server 2019
Al configurar el reenviador, se puede reenviar una gran variedad de registros:
- Registros de aplicaciones
- Registro de seguridad
- Registro del sistema
- Registro de eventos reenviados
- Registro de configuración
Además, se puede registrar Performance Monitor:
- Carga de CPU
- Memoria
- Espacio del disco
- Estadísticas de red
Además, se puede habilitar la supervisión de Active Directory.
Si bien es tentador marcar todas las casillas para que el máximo de datos esté disponible durante la resolución de problemas, me pregunto cuál será el impacto en el rendimiento del servidor.
¿Existe alguna mejor práctica aquí? ¿Está bien reenviar todo? ¿O qué es probablemente mejor dejar de lado?
Respuesta1
Esteesuna buena pregunta, pero no tiene respuestade cualquier manera practicasin conocer sus casos de uso
Como @Greg Askewcomentó, no existe una "mejor práctica", es lo que usted:
- quiero coleccionar y
- necesito recolectar
Para una organización, es posible que necesite saber cada vez que se utiliza una impresora local y quién la utiliza.
Es posible que a otro grupo solo le importe cuando un usuario que no pertenece al dominio inicia sesión
Y así sucesivamente durante decenas de miles de posibles interacciones.
Explique su(s) caso(s) de uso y podremos ayudarle mejor :)